Um novo tipo de fraude digital está crescendo rapidamente no Brasil e preocupa especialistas em segurança. O chamado golpe da “caixinha”, que envolve a instalação clandestina de dispositivos de rede em empresas, passou de ações isoladas para uma operação estruturada com divisão de tarefas e recrutamento organizado.
Desde 2025, a plataforma de monitoramento Vydar, da empresa brasileira ZenoX, registra um aumento expressivo em mensagens relacionadas ao recrutamento de funcionários internos de empresas para a execução de fraudes com comprometimento físico de infraestrutura.
Segundo análises de monitoramento de cibercrime, grupos criminosos estão utilizando roteadores compactos — frequentemente equipamentos MikroTik — para interceptar dados e acessar redes corporativas sem serem detectados.
- Leia também: Phishing: como identificar e evitar golpes de e-mail na internet
- Leia também: Endpoints expostos: o risco oculto que ameaça infraestruturas com IA e LLMs
- Leia também: Gmail vai acabar com duas funções em 2026 e milhões de usuários podem ser afetados
Como funciona o golpe da “caixinha”
O esquema depende principalmente de funcionários ou terceirizados que tenham acesso físico às empresas.
Criminosos recrutam essas pessoas pela internet e oferecem dinheiro para que instalem um pequeno equipamento dentro da infraestrutura da organização.
Depois de conectado, o dispositivo cria um canal de acesso remoto para os criminosos, permitindo monitorar a rede em tempo real e preparar ataques financeiros ou roubo de dados.
Em muitos casos, o aparelho é escondido com etiquetas falsas ou disfarçado como parte da infraestrutura legítima da empresa.
30 grupos no Telegram fazem o recrutamento
O gatilho para a investigação foi a identificação de uma publicação em um grupo de Telegram com aproximadamente 8 mil membros, na qual um agente criminoso convocava funcionários de instituições financeiras e varejistas. Os interessados deveriam a instalar dispositivos físicos em redes internas em troca de dinheiro.
A chamada utilizava o termo “plugar caixinha”, expressão consolidada no ecossistema criminoso brasileiro para designar a instalação de hardware de interceptação de rede em ambientes corporativos.
O Telegram tornou-se o principal canal de recrutamento e operação do ecossistema criminoso focado em fraudes corporativas no Brasil. Grupos com milhares de membros funcionam como marketplaces abertos onde são negociados credenciais bancárias, dados de clientes, serviços de lavagem e, crescentemente, o recrutamento de insiders com acesso físico a redes corporativas.
Ao longo de oito meses de monitoramento, a ZenoX indexou centenas de mensagens únicas relacionadas a esse tipo de recrutamento, distribuídas por mais de 30 grupos distintos.
Telegram virou plataforma de recrutamento
As investigações mostram que grupos no Telegram estão sendo usados como marketplace do crime digital.
Esses grupos podem ter milhares de membros e funcionam como ponto de encontro para:
- recrutamento de funcionários internos
- venda de dados roubados
- negociação de acessos a empresas
- contratação de serviços de lavagem de dinheiro
Mensagens nesses canais prometem pagamentos altos para quem aceitar instalar os dispositivos dentro das empresas.
Alvos principais dos criminosos
Os grupos não escolhem as vítimas por acaso. Alguns setores aparecem com mais frequência nos monitoramentos:
Principais alvos
- Bancos e instituições financeiras
- Grandes redes de varejo
- Lotéricas e correspondentes bancários
- Empresas de manutenção e TI terceirizada
Esses ambientes costumam oferecer acesso a sistemas financeiros ou redes com grande volume de dados.
Estrutura profissional do crime
O que mais chama atenção é o nível de organização dessas operações.
As investigações identificaram:
- recrutadores especializados
- linguagem padronizada
- protocolos de verificação de funcionários
- pagamento antecipado para insiders
Esse modelo mostra que o golpe evoluiu para algo semelhante a uma operação empresarial do crime digital, capaz de movimentar valores de centenas de milhões de reais.
As quatro etapas do golpe
Especialistas identificaram um processo comum usado pelos criminosos:
1. Recrutamento
Funcionários são abordados em grupos ou redes sociais.
2. Verificação
O candidato precisa provar que trabalha na empresa alvo.
3. Entrega do equipamento
O dispositivo é entregue com instruções de instalação.
4. Execução do ataque
Após conectado, os criminosos passam a acessar a rede da empresa.
Esse método reduz riscos para a quadrilha e aumenta as chances de sucesso.
Por que esse golpe é tão perigoso
Diferente de ataques comuns pela internet, essa fraude envolve acesso físico à infraestrutura da empresa, o que dificulta a detecção por ferramentas tradicionais de segurança.
Além disso:
- o dispositivo pode usar internet própria (4G/5G)
- pode ficar escondido por meses
- permite espionagem silenciosa da rede
Esse tipo de ataque é considerado um dos mais perigosos atualmente no ambiente corporativo.
Como empresas podem se proteger
Especialistas recomendam algumas medidas essenciais:
Controle de acesso físico
- limitar entrada em áreas de rede e servidores
Monitoramento de dispositivos
- identificar equipamentos desconhecidos na rede
Treinamento de funcionários
- conscientizar sobre engenharia social
Auditorias frequentes
- inspeções físicas em infraestrutura crítica
O crescimento do golpe da “caixinha” mostra como o cibercrime está evoluindo no Brasil. Com recrutamento interno, equipamentos discretos e organização profissional, os ataques se tornam mais difíceis de detectar e podem causar prejuízos milionários.
Por isso, as empresas precisam investir não apenas em segurança digital, mas também em controle físico e conscientização de colaboradores.
